掌握五大步骤 可望提升工控网安防御力

2022/01/20 - DIGITIMES企划

在工控网安议题发酵之前，制造业网络环境普遍存在「安全神话」，只因用户认为他们没有对外网络、工控系统有防火墙隔离、黑客不了解工控系统、工控设施不会是攻击目标，以及企业既有网安设施会守护他们；殊不知现实状况，与他们的认知多有所落差。

Tenable资深技术顾问李元勋表示说，回顾IT与OT融合，其实始于20年前，直到10年前OT环境走向全自动化时、跨进一大步，只因从PLC、SCADA、MES到ERP这条信息流代理径，已同时贯穿IT及OT场域；时至2020年，随着工业物联网(IIoT)蓬勃兴起，OT环境采用IT技术的机会越来越大。

由于IT、OT融合日深，针对OT基础设施发动的网络攻击，也就渐趋频繁。为何工业网安议题日益严峻？其实有诸多成因，包含缺乏正确的资产清册、缺乏设备间沟通的可视性、缺乏弱点曝露的可视性、控制节点有限、威胁侦测不足，以及缺乏修补或老旧的系统过多。李元勋提醒用户不容小看网络攻击，若以普渡(Purdue)模型而论，从上层的破坏会导致较低层级的实体设备被破坏或控制，因下层实体设备(如PLC、RTU等)主要透过软件被上层DCS系统控制，因此最终可能导致较低级别实体(级别1)受到严重破坏、形成代价高昂且危险的灾难。

如何强化工控安全防御？李元勋建议执行五大步骤。第一步是「清查所有设备」，了解工控环境有哪些控制器或主机设备、各自传输的方法，若掌握这些信息，即可厘清有哪些不适当连线正在发生。除掌握设备的厂牌、型号外，应进一步掌握PLC背板插槽上的设备、万一哪天出状况，可循线追查问题点发生在哪台设备上。

第二步骤为「发现所有日常」，只要有设备、就有传输，倘若哪天发觉有主机尝试对外连线，或尝试在内部连结非固定联系的主机，即需确认是否为异常通讯。

接下来第三步骤是「关于控制器」，除观察控制器的运作是否正常外，亦需严密监控里头的设定档有无异动，具体做法是透过不同时间轴进行设定前后差异比对，如Tenable系统还搭配颜色标记，方便管理者清查出现变动的设定档、以及由何人执行更动改。

第四步骤为「风险、弱点与不安全设定」，以2020年为例，全球共发现18,300弱点，此时可借助Tenable Research等工具，了解这些弱点是否影响工控环境，结果发现不到50%的弱点有攻击程序，再凭藉良好的资产盘点，证实仅274个与工控环境相关，即可对症下药、锁定这些脆弱点来补强。

最后一步为「持续的态势侦测」，可藉由Tenable Research分析目前工控环境中存在哪些CVE漏洞，以便着手进行补强措施；若碍于相关端点设备无法装载防护软件，可考虑加强边界防护，藉以阻挡一些弱点攻击。


图说：Tenable资深技术顾问李元勋。DIGITIMES


图说：欲了解Tenable，可透过Westcon Solutions。Westcon Taiwan